Те, що російська атака електромережі може навчити кожного професіонала

Ви вже чули, що спільне розслідування Федерального бюро розслідувань (ФБР) та Міністерства внутрішньої безпеки США призвело до повідомлення про те, що російські оперативники зламали компанії, які є частиною електромережі США. Напади детально описані у доповіді Американської групи з готовності до надзвичайних ситуацій (US-CERT), в якій описано, як зловмисники змогли проникнути в енергетичні споруди та що вони зробили з інформацією, яку вони вкрали.

Те, що не було в ЗМІ, - це факт, який повинен викликати занепокоєння у ІТ-професіонала, чи вони працюють для малого середнього бізнесу (SMB) або для більшої організації. Цей факт: Шлях, який нападники експлуатували, пройшов через менших партнерів кінцевої цілі. Вони розпочали свою атаку, проникаючи в захист тих менших партнерів, оскільки вони, швидше за все, мали слабкішу оборону, а потім використовували інформацію та ресурси, зібрані звідти, для нападу на наступний об'єкт вгору по лінії.

Анатомія розумної фішинг-атаки

Основним засобом отримання доступу до меншого партнера було пошук публічної інформації, яка, поєднавшись з іншою інформацією, забезпечить рівень деталізації, необхідний для наступного кроку. Наприклад, зловмисник може вивчити веб-сайт компанії, яка працює з кінцевою ціллю, і там він може знайти адресу електронної пошти вищого керівника або в компанії партнера, або в кінцевій цілі. Тоді зловмисник може вивчити іншу інформацію з обох веб-сайтів компанії, щоб побачити, які стосунки є, які послуги надаються ким і щось про структуру кожної компанії.

Озброївшись цією інформацією, зловмисник може почати надсилати переконливі фішинг-листи з того, що видається законною електронною адресою; такі, що мають достатньо деталізовані деталі, які можуть перемогти будь-які фішинг-фільтри, встановлені на брандмауері або захищені кінцевою точкою захисту. Фішинг-листи будуть розроблені для отримання даних про вхід для особи, на яку націлено, і якщо будь-який з них буде успішним, зловмисники миттєво обійдуть будь-які заходи щодо управління ідентифікацією, які можуть бути встановлені, і опиняться всередині цільової мережі.

З розкриттями про збирання інформації про користувачів з Facebook характер загрози розширюється. Під час порушення, проведеного під виглядом академічних досліджень, починаючи з 2014 року, російський дослідник отримав доступ до близько 50 мільйонів профілів користувачів американських членів Facebook. Ці профілі були передані Cambridge Analytica. Подальші розслідування показали, що ці дані були взяті без дозволу цих користувачів Facebook, а потім неправомірно використані.

Аудит зовнішніх комунікацій

Тут виникає питання про те, яку інформацію обачні підприємства повинні зробити доступними на своїх веб-сайтах. Гірше, що цей запит, ймовірно, повинен поширюватися на присутність організації в соціальних медіа, сторонні маркетингові канали, такі як Youtube, і навіть гучні профілі соціальних медіа співробітників.

"Я думаю, що вони повинні бути уважними до того, що є на веб-сайтах їхньої компанії", - сказав Лео Таддео, головний директор з питань інформаційної безпеки (CISO) для компанії Cyxtera та колишній спеціальний агент, відповідальний за відділ кіберзахисту польового офісу ФБР у Нью-Йорку. "Є великий потенціал для розкриття інформації ненавмисно."

Таддео сказав, що хороший приклад - це посади, де ви можете розкрити, які інструменти ви використовуєте для розробки або навіть які спеціальні питання безпеки ви шукаєте. "Є багато способів, як компанії можуть викрити себе. Існує велика площа поверхні. Не тільки веб-сайт, а не просто навмисні комунікації", - сказав він.

"Соціальні медіа - це ризик", - пояснив Таддео, вказавши, що публікація працівника в соціальних мережах може виявити безліч випадків. Він зазначив, що працівники, які говорять, що вони не задоволені своєю роботою, можуть виявити ціль експлуатації. "Співробітники, які детально розповідають про свою роботу чи досягнення, є ризиком. Видобуток соціальних медіа є дуже продуктивним для супротивників".

Taddeo попередив, що професійні веб-сайти для ЗМІ, такі як LinkedIn, також є ризиком для тих, хто не проявляє обережності. Він сказав, що супротивники створюють підроблені акаунти на таких веб-сайтах, які маскують, ким вони є насправді, а потім використовують інформацію зі своїх контактів. "Що б вони не розміщували на сайтах соціальних мереж, це може поставити під загрозу роботодавця", - сказав він.

Зважаючи на той факт, що погані суб'єкти, націлені на вас, можуть бути після ваших даних або можуть бути після організації, з якою ви працюєте, питання не лише в тому, як ви захищаєте себе, але як ви також захищаєте свого ділового партнера? Це ускладнюється тим, що ви, можливо, не знаєте, чи можуть зловмисники шукати ваші дані або просто бачать вас сходинкою та, можливо, місцем наступної атаки.

Як захистити себе

У будь-якому випадку, ви можете зробити кілька кроків. Найкращий спосіб підійти до цього - у формі інформаційного аудиту. Перерахуйте всі канали, які ваша компанія використовує для зовнішніх комунікацій, звичайно маркетингу, а також HR, PR та ланцюжок поставок серед інших. Потім створіть аудиторську групу, яка містить зацікавлених сторін з усіх постраждалих каналів, і починайте аналізувати те, що там є, систематично та з огляду на інформацію, яка може бути корисною для злодіїв даних. Спочатку почніть з веб-сайту своєї компанії:

Вивчіть веб-сайт своєї компанії, щоб дізнатись про деталі роботи, яку ви виконуєте, або інструменти, якими ви користуєтесь. Наприклад, екран комп'ютера, який з’являється на фотографії, може містити важливу інформацію. Перевірте фотографії виробничого обладнання або мережевої інфраструктури, які можуть надати підказки, корисні для зловмисників.

Подивіться на список персоналу. Чи є у вас вказані адреси електронної пошти для вашого старшого персоналу? Ці адреси не лише надають зловмиснику потенційну адресу для входу, а й спосіб підробляти електронні листи, надіслані іншим працівникам. Подумайте про заміну цих посилань на форму або використовувати іншу електронну адресу для громадського споживання порівняно з внутрішнім використанням.

Чи говорить ваш веб-сайт, хто ваші клієнти чи партнери? Це може надати зловмиснику ще один спосіб напасти на вашу організацію, якщо у них виникнуть проблеми із подоланням вашої безпеки.

Перевірте свої проводки. Наскільки вони розкриваються про інструменти, мови та інші аспекти вашої компанії? Поміркуйте, працюючи через фірмову фірму, щоб відокремитись від цієї інформації.

Подивіться на вашу присутність у соціальних мережах, маючи на увазі, що ваші супротивники, безумовно, намагатимуться видобувати інформацію через цей канал. Також дивіться, скільки інформації про вашу компанію розкрито у публікаціях старшого персоналу. Ви не можете контролювати все, що стосується діяльності ваших працівників у соціальних мережах, але ви можете слідкувати за цим.

Розглянемо мережу архітектури. Taddeo рекомендує необхідний підхід, у якому доступ адміністратора надається лише тоді, коли це потрібно і лише для системи, яка потребує уваги. Він пропонує використовувати програмно визначений периметр (SDP), який був спочатку розроблений Міністерством оборони США. "Зрештою, права доступу кожного користувача динамічно змінюються на основі ідентичності, пристрою, мережі та чутливості програми", - сказав він. "Вони керуються легко налаштованими полісами. Порівнюючи доступ до мережі з доступом до програми, користувачі залишаються повністю продуктивними, в той час як площа поверхні атаки різко зменшується."

• Тепер розгляньте свої хмарні служби таким же чином. Це часто конфігурація за замовчуванням, щоб зробити старших адміністраторів компаній на сторонніх корпоративних хмарних послугах, таких як облікові записи Google Analytics або Salesforce вашої компанії. Якщо їм не потрібен такий рівень доступу, подумайте про перехід їх до статусу користувача та залиште адміністративні рівні доступу ІТ-персоналу, чиї входи в електронну пошту важче знайти.

Нарешті, Taddeo сказав, щоб шукати вразливості, створені внаслідок тіньових ІТ. Якщо ви не шукаєте цього, у вас може бути обхід вашої жорсткої безпеки, оскільки хтось встановив бездротовий маршрутизатор у своєму офісі, щоб вони могли легше використовувати свій особистий iPad на роботі. Невідомі сторонні хмарні служби також підпадають під цю категорію. У великих організаціях не рідкість, коли керівники відділів просто підписують свої відділи для зручних хмарних сервісів, щоб обійти те, що вони вважають ІТ «бюрократиєю».

Сюди можна віднести основні ІТ-сервіси, як-от використання Dropbox Business як мережевого сховища або використання іншої служби автоматизації маркетингу, оскільки підписка на офіційний інструмент, що підтримується корпорацією, занадто повільна і вимагає заповнення занадто багато форм. Програмні послуги на кшталт цих можуть викривати чутливі дані, навіть не знаючи про них. Переконайтеся, що ви знаєте, які додатки використовуються у вашій організації, ким і що ви твердо контролюєте, хто має доступ.

Робота з аудитом така втомлива і часом забирає багато часу, але вона може виплатити великі дивіденди в довгостроковій перспективі. Поки ваші супротивники не прийдуть за вами, ви не знаєте, що у вас є, що, можливо, варто вкрасти. Тож вам потрібно підходити до безпеки таким чином, який є гнучким, при цьому все ще слідкуйте за тим, що має значення; і єдиний спосіб зробити це - ретельно поінформувати про те, що працює у вашій мережі.